Modelo de fluxo de trabalho de servidor ou serviço invasor de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • O Incidente de segurança - Servidor ou serviço invasor - permite que você execute uma série de tarefas projetadas para lidar com atividades de servidores ou serviços invasores que afetam sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Servidor ou serviço invasor. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Servidor ou serviço invasor
    Servidor invasor ou modelo de fluxo de trabalho de serviço

    Procedimento

    1. Abra o incidente de segurança para este possível ataque ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Servidor invasor ou atividade de serviço.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado.
      Tabela 1. Tarefas de resposta no servidor invasor ou no modelo de serviço
      Tarefa de resposta Ação Resultados
      Servidor ou serviço invasor verificado? Determine se uma conexão com um servidor ou serviço invasor foi verificada em sua rede.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, as duas tarefas a seguir serão executadas em paralelo:
      • Identificar sistema(s) afetado(s)
      • Possível perda de dados?

      Se você selecionar Não, o fluxo será encerrado.
      Identificar sistema(s) afetado(s) Determine os sistemas afetados pelo contato com o servidor ou serviço invasor. Quando esta tarefa estiver concluída, a tarefa Atualizar sistema(s) - Remover conexões não autorizadas será executada.
      Possível perda de dados? Determine se a conexão com o servidor ou serviço invasor causou possível perda de dados.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Criar possível incidente de perda de dados será executada.

      Se você selecionar Não, a tarefa Atualizar sistema(s) - Remover conexões não autorizadas será executada.
      Criar possível incidente de perda de dados Execute as etapas necessárias para criar um incidente de segurança para a possível perda de dados. Quando esta tarefa estiver concluída, a tarefa Atualizar sistema(s) - Remover conexões não autorizadas será executada.
      Atualizar sistema(s) - Remover conexões invasoras Execute as etapas necessárias para remover as conexões não autorizadas. Quando esta tarefa for concluída, a tarefa Definir estado para revisão será executada.
      Definir estado como revisão Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisare a tarefa de reunião de Lições aprendidas é executada.
      Reunião de lições aprendidas Realize uma reunião de lições aprendidas para fazer a triagem do trabalho realizado para este servidor invasor ou incidente de serviço.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Quando esta tarefa for concluída, o fluxo será encerrado.